RU2412549C1 - Способ конфигурирования сети связи - Google Patents

Способ конфигурирования сети связи Download PDF

Info

Publication number
RU2412549C1
RU2412549C1 RU2009128269/09A RU2009128269A RU2412549C1 RU 2412549 C1 RU2412549 C1 RU 2412549C1 RU 2009128269/09 A RU2009128269/09 A RU 2009128269/09A RU 2009128269 A RU2009128269 A RU 2009128269A RU 2412549 C1 RU2412549 C1 RU 2412549C1
Authority
RU
Russia
Prior art keywords
network
security
nodes
route
routes
Prior art date
Application number
RU2009128269/09A
Other languages
English (en)
Inventor
Алексей Юрьевич Остриков (RU)
Алексей Юрьевич Остриков
Олег Витальевич Крюков (RU)
Олег Витальевич Крюков
Original Assignee
Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) filed Critical Государственное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России)
Priority to RU2009128269/09A priority Critical patent/RU2412549C1/ru
Application granted granted Critical
Publication of RU2412549C1 publication Critical patent/RU2412549C1/ru

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к области телекоммуникаций, а именно к проектированию защищенных сетей связи. Техническим результатом является повышение устойчивости сети к угрозам информационной безопасности. Технический результат достигается тем, что для узлов сети задают параметры безопасности и их значения, формируют совокупность возможных маршрутов связи между i-ым и j-ым узлами сети, рассчитывают средние показатели безопасности маршрутов и выбирают из них для передачи сообщений наиболее безопасные. Затем, используя функцию энтропии, рассчитывают доли потоков для каждого маршрута, которые обеспечивают равномерность относительных показателей безопасности маршрутов и равномерную значимость маршрутов в смысле информационной безопасности. 9 ил.

Description

Изобретение относится к области телекоммуникаций и может быть использовано для проектирования защищенных сетей связи.
Известно изобретение "Способ создания защищенных виртуальных сетей" по патенту RU №2276466, H04L 12/28, G06F 12/08, 10.05.2006, заключающееся в том, что для каждого компьютера, который может быть использован в нескольких защищенных виртуальных сетях, и для каждой создаваемой защищенной виртуальной сети выделяют отдельный блок долговременной памяти, в который записывается отдельная операционная система, настраиваемая на данную виртуальную сеть. Переход из одной виртуальной сети в другую осуществляется путем перегрузки компьютера, а доступ к блоку долговременной памяти и загрузка операционной системы каждой защищенной виртуальной сети выполняется после предъявления пользователем полномочий и выполнения аутентификации, при этом доступ к блокам памяти защищенной виртуальной сети со стороны других виртуальных сетей блокируется. Недостатком известного способа является то, что при формировании защищенной виртуальной сети не учитываются показатели информационной безопасности возможных направлений связи между узлами сети.
Также известно изобретение "Способ выбора безопасного маршрута в сети связи (варианты)" - патент RU №2331158, H04L 12/28, 10.08.2008. Сущность известного изобретения заключается в том, что для сети связи, содержащей совокупность из X узлов сети, предварительно задают для каждого x-го узла сети, где x=1, 2,…, X, совокупность Y параметров безопасности и их значения bxy, где y=1, 2,…, Y, вычисляют комплексный показатель безопасности k для каждого x-го узла сети, формируют матрицу смежности вершин графа сети, после чего формируют совокупность возможных маршрутов связи между i-ым и j-ым абонентами сети, где i=1, 2,…, j=1, 2,…, и i≠j, в виде Nij деревьев графа сети связи, причем каждое n-ое, где n=1, 2,…, Nij дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности, выбирают один маршрут и передают по нему сообщения.
Недостатком известного способа-прототипа является то, что он не позволяет обеспечить устойчивость сети к угрозам информационной безопасности. Под устойчивостью в данном смысле понимается свойство сети связи, при котором воздействие нарушителя на отдельные ее элементы не приводит к компрометации или нарушению работоспособности сети в целом.
Предлагаемый способ расширяет функциональные возможности способа-прототипа за счет введения дополнительных процедур и частичного изменения связей в логике работы предыдущего уровня техники. Задачей изобретения является конфигурирование сети связи, позволяющей получить повышение устойчивости сети к угрозам информационной безопасности за счет построения регулярной структуры безопасных маршрутов и распределения по ним информационных потоков таким образом, что выбранные маршруты имеют равномерную значимость в смысле информационной безопасности. То есть по техническим характеристикам из совокупности выбранных маршрутов на сети связи выделить наиболее или наименее защищенные для планирования угроз информационной безопасности нарушитель не может. При этом устойчивость функционирования сети обеспечивается не "силовыми" методами защиты, а повышением условий априорной неопределенности относительно принятия решения о воздействие на то или иное направление связи и минимизацией ущерба данного воздействия [Сычев К.И. Многокритериальное проектирование мультисервисных сетей связи. - СПб.: Изд-во Политехн. ун-та, 2008. - 272 с., Царегородцев А.В., Кислицын А.С. Основы синтеза защищенных телекоммуникационных систем / Под ред. Е.М.Сухарева. Кн.6. - М.: Радиотехника, 2006. - 256 с.]. Таким образом, с целью обеспечения устойчивости сети связи к угрозам информационной безопасности выбранные безопасные маршруты необходимо использовать в соответствии с долями потоков, которые позволят уравновесить значимости этих маршрутов для передачи данных. На узлах сети связи необходимо учитывать объемы данных, которые передают по каждому направлению, и проводить его корректировку, например за счет механизмов маршрутизации.
Решение задачи достигается тем, что для сети связи, содержащей совокупность из X узлов сети, предварительно задают для каждого x-го узла сети, где x=1, 2,…, X, совокупность Y параметров безопасности и их значения bxy, где y=1, 2,…, Y, вычисляют комплексный показатель безопасности k для каждого х-го узла сети, запоминают информацию о структуре сети, после чего формируют совокупность возможных маршрутов связи между i-ым и j-ым узлами сети, где i=1, 2,…, j=l, 2,…, и i≠j в виде Nij деревьев графа сети связи, причем каждое n-оe, где n=1, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности, выбирают один маршрут с наибольшим значением его среднего показателя безопасности, выбранный маршрут запоминают и передают по нему сообщения. В качестве информации о структуре сети запоминают комплексные показатели безопасности k для каждого x-го узла сети и матрицу связности S, а средние показатели безопасности для n-го маршрута сети вычисляют путем перемножения комплексных показателей безопасности узлов, входящих в n-ый маршрут, далее после того как выбирают и запоминают один маршрут между каждой парой i и j узлов, дополнительно запоминают их средние показатели безопасности в виде матрицы
Figure 00000001
затем находят максимум функции энтропии H (K, F), а также соответствующую найденному максимальному значению функции энтропии матрицу F=[fi,j], содержащую доли потоков между каждой парой i и j узлов сети связи с учетом априорных характеристик безопасности, после чего найденные значения [fi,j] передают на узлы сети и используют на узлах сети для регулирования объемов данных, которые передают по маршрутам. Предлагаемый способ поясняется чертежами:
фиг.1 - схема реализации способа конфигурирования сети связи;
фиг.2 - пример графа, описывающего сеть связи;
фиг.3 - матрица связности для графа;
фиг.4 - таблица значений показателей безопасности для узлов сети;
фиг.5 - таблица сформированных возможных маршрутов в сети и рассчитанных для них средних показателей безопасности;
фиг.6 - таблица выбранных маршрутов для каждой пары узлов сети;
фиг.7 - таблица долей потоков на каждом выбранном маршруте;
фиг.8 - графики, отражающие технический результат заявленного способа.
Проведенный заявителем анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественными всем признакам заявленного способа, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности "Новизна". Результаты поиска известных решений в данной и смежных областях техники с целью выявления признаков, совпадающих с отличительными от прототипа признаками заявленного изобретения, показали, что оно не следует явным образом из уровня техники. Из определенного заявителем уровня техники существование влияния существенных признаков заявленного изобретения на достижение указанного технического результата не выявлено. Следовательно, заявленное изобретение соответствует условию патентоспособности "Изобретательский уровень".
Способ конфигурирования сети связи может быть реализован следующим образом. Предположим, что для обеспечения устойчивости к угрозам информационной безопасности необходимо произвести конфигурирование сети связи, описываемой графом (фиг.2).
Для каждого узла сети задают значения параметров безопасности (бл.1 на фиг.1). По аналогии с предыдущим уровнем техники параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ РИСО/МЭК 15408-2002 «Методы и средства обеспечения информационной безопасности. Критерии оценки безопасности информационных технологий». Значения bxy параметров безопасности у для узлов сети х определяется, например, по характеристикам производителей оборудования составляющих узла сети, типу этого оборудования, типу и версии установленного программного обеспечения [Описание изобретения к патенту RU №2331158, H04L 12/28, 10.08.2008, бюл. №22. «Способ выбора безопасного маршрута в сети связи (варианты)»]. Предположим, что параметры безопасности для узлов сети определяются в соответствии с таблицей (фиг.4).
Для каждого x-го узла сети по значениям его параметров безопасности вычисляют и запоминают комплексный показатель безопасности k (бл.2 на фиг.1) путем, например, расчета среднего арифметического значения:
Figure 00000002
Вычисленные комплексные показатели безопасности для узлов сети связи представлены в таблице (фиг.4).
Запоминают информацию о структуре сети в виде матрицы связности S (бл.3 на фиг.1) (фиг.3).
Формируют совокупность возможных маршрутов связи между i-ым и j-ым абонентами сети, где i=1, 2,…, j=1, 2,…, и i≠j, в виде Nij деревьев графа сети связи (бл.4 на фиг.1), причем каждое n-ое, где n=l, 2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Порядок формирования возможных маршрутов в виде деревьев графа известен и описан [Кристофидес H. Теория графов: алгоритмический подход. Пер. с англ. - М.: Мир, 1978, - 432 с.]. Для рассматриваемого примера совокупность всех возможных маршрутов между i-ым и j-ым узлами графа представлена в таблице (фиг.5).
Для каждого найденного маршрута вычисляют средние показатели безопасности
Figure 00000003
(бл.5 на фиг.1) как произведение комплексных показателей безопасности k узлов сети, входящих в n-ый маршрут:
Figure 00000004
Рассчитанные средние показатели безопасности
Figure 00000005
для рассматриваемого примера сведены в таблицу (фиг.5).
Выбирают маршруты для каждой пары узлов сети с наибольшими показателями безопасности
Figure 00000005
(бл.6 на фиг.1), причем в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn. Запоминают выбранные маршруты, а значения их средних показателей безопасности запоминают в матрице
Figure 00000006
(бл.7 на фиг.1), причем элементы матрицы при i=j равны комплексному показателю безопасности соответствующего узла (фиг.6).
Для обеспечения устойчивости сети к угрозам информационной безопасности выбранных маршрутов недостаточно, т.к. они существенно отличаются по показателям защищенности, что для нарушителя может являться определяющим фактором при выборе объекта атаки. Поэтому рассчитанные безопасные маршруты следует сбалансировать путем распределения по ним информационных потоков. Доли потоков, характеризующие отношение объемов информационного взаимодействия между каждой парой узлов, описывают потоковую структуру сети при сложившемся распределении по сети средств обеспечения информационной безопасности.
Для нахождения долей потоков по найденным маршрутам сети находят максимум функции энтропии H (K, F) (бл.8 на фиг.1) (выражение 4), которая является мерой, характеризующей состояние равновесия [Попков Ю.С. Теория макросистем (равновесные модели). - М.: Эдиториал УРСС, 1999. - 320 с.] при ограничениях (5). Матрица K является параметром функции, а матрица F=[fi,j] - переменной, характеризующей распределение информационного потока между узлами сети.
Figure 00000007
Figure 00000008
Figure 00000009
Решая оптимизационную задачу вида (6) с ограничениями (5) любым из известных методов, например методом множителей Лагранжа [Попков Ю.С.Теория макросистем (равновесные модели). - М.: Эдиториал УРСС, 1999. - 320 с., Таха, Хэмди А. Введение в исследование операций. 6-е издание.: Пер. с англ. - М.: Издательский дом "Вильямс", 2001. - 912 с.], находят матрицу Fm (бл.8 на фиг.1).
Figure 00000010
Таким образом, найденная матрица Fm содержит сбалансированные значения долей потоков для маршрутов между каждой парой узлов i, j с учетом информационной безопасности этих маршрутов. Для рассматриваемого примера найденная матрица представлена таблицей (фиг.7). Найденную матрицу F передают на узлы связи (бл.9 на фиг.1) и используют на узлах связи для регулирования объемов данных, которые передают по направлениям связи (бл.10, бл.11 на фиг.1).
На графиках (фиг.8) представлены значения относительных показателей безопасности
Figure 00000011
, где
Figure 00000012
,
Figure 00000013
для варианта равномерного распределения потоков по найденным безопасным маршрутам (графика 1 фиг.8) и варианта распределения в соответствии с рассчитанной матрицей долей информационного обмена (графика 2 фиг.8). Анализируя полученные данные, можно сделать вывод о том, что в соответствии с графиком 1 (фиг.8) наиболее предпочтительным объектом атаки нарушителя является направления 1->3 и 1->5, потому как они имеют определенно выраженные всплески относительных показателей безопасности. По графику 2 (фиг.8) подобный выбор сделать затруднительно, поскольку значения относительных показателей безопасности всех направлений приблизительно одинаковы. Разброс значений показателей во втором варианте в 2,7 раза меньше первого.
Заявленный способ может быть реализован в виде устройства, осуществляющего централизованное конфигурирование сети связи (фиг.9).
На схеме (фиг.9) обозначены следующие блоки:
1 - блок мониторинга сети связи;
2 - блок памяти;
3 - сумматор;
4 - делитель;
5 - регистр памяти;
6 - счетчик;
7 - блок формирования маршрутов;
8 - коммутирующее устройство;
9 - умножитель;
10 - блок выбора безопасного маршрута;
11 - блок памяти;
12 - блок расчета функции энтропии;
13 - блок рассылки;
14 - блок распределения нагрузки узла по направлениям связи.
Блоки мониторинга сети 1 и памяти 2 реализуют процедуры бл.1 и бл.3 на фиг.1 способа, сумматор 3, делитель 4, регистр памяти 5 и счетчик 6 реализуют процедуру бл.2 (фиг.1), блок формирования маршрутов 7 реализует процедуру бл.4 (фиг.1), коммутирующее устройство 8 и умножитель 9 реализуют процедуру бл.5 (фиг.1), блок выбора безопасного маршрута реализует процедуру бл.6 (фиг.1), блок памяти 11 реализует процедуру бл.7 (фиг.1), блок расчета функции энтропии 12 реализует процедуру бл.8 (фиг.1), блок рассылки 13 реализует процедуру бл.9 (фиг.1), блок распределения нагрузки узла по направлениям связи 14 реализует процедуры бл.10 и бл.11 (фиг.1).
Таким образом, благодаря новой совокупности существенных признаков за счет введения новых процедур и связей между ними появляется возможность обеспечить устойчивость сети связи к угрозам информационной безопасности. Способ позволяет определить маршруты и требуемые доли информационных потоков для них, обеспечивающих максимальную неопределенность для нарушителя при выборе объекта атаки.
Предлагаемый способ может быть использован в подсистемах и звеньях управления технологическими процессами в информационно-вычислительных сетях, а также средствах и системах обеспечения информационной безопасности сетей связи.

Claims (1)

  1. Способ конфигурирования сети связи, заключающийся в том, что для сети связи, содержащей совокупность из Х узлов сети, предварительно задают для каждого х-го узла сети, где х=1,2,…,Х, совокупность Y параметров безопасности и их значения bxy, где y=1,2,…,Y, вычисляют комплексный показатель безопасности k для каждого х-го узла сети, запоминают информацию о структуре сети, после чего формируют совокупность возможных маршрутов связи между i-м и j-м узлами сети, где i=1,2,…; j=1,2,…; и i≠j, в виде Nij деревьев графа сети связи, причем каждое n-е, где n=1,2,…,Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети, затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности, выбирают один маршрут с наибольшим значением его среднего показателя безопасности, выбранный маршрут запоминают и передают по нему сообщения, отличающийся тем, что в качестве информации о структуре сети запоминают комплексные показатели безопасности k для каждого х-го узла сети и матрицу связности S, а средние показатели безопасности для n-го маршрута сети вычисляют путем перемножения комплексных показателей безопасности узлов, входящих в n-й маршрут, далее после того как выбирают и запоминают один маршрут между каждой парой i и j узлов, дополнительно запоминают их средние показатели безопасности в виде матрицы
    Figure 00000014
    , затем находят максимум функции энтропии Н(K, F), а также соответствующую найденному максимальному значению функции энтропии матрицу F=[fi,j], содержащую доли потоков между каждой парой i и j узлов сети связи с учетом априорных характеристик безопасности, после чего найденные значения [fi,j] передают на узлы сети и используют на узлах сети для регулирования объемов данных, которые передают по маршрутам.
RU2009128269/09A 2009-07-21 2009-07-21 Способ конфигурирования сети связи RU2412549C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2009128269/09A RU2412549C1 (ru) 2009-07-21 2009-07-21 Способ конфигурирования сети связи

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2009128269/09A RU2412549C1 (ru) 2009-07-21 2009-07-21 Способ конфигурирования сети связи

Publications (1)

Publication Number Publication Date
RU2412549C1 true RU2412549C1 (ru) 2011-02-20

Family

ID=46310216

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2009128269/09A RU2412549C1 (ru) 2009-07-21 2009-07-21 Способ конфигурирования сети связи

Country Status (1)

Country Link
RU (1) RU2412549C1 (ru)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103135037A (zh) * 2012-12-26 2013-06-05 河南理工大学 利用Prony相对熵的故障投票选线方法
RU2495486C1 (ru) * 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
RU2631971C1 (ru) * 2016-04-22 2017-09-29 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ идентификации логического соединения в инфокоммуникационной сети, обеспечивающей анонимный доступ
RU2739151C1 (ru) * 2020-03-24 2020-12-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2822817C1 (ru) * 2022-06-17 2024-07-15 Бейджинг Пантум Информейшн Текнолоджи Лтд. Способ настройки сети, электронное устройство и машиночитаемый носитель данных

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2495486C1 (ru) * 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
CN103135037A (zh) * 2012-12-26 2013-06-05 河南理工大学 利用Prony相对熵的故障投票选线方法
CN103135037B (zh) * 2012-12-26 2015-05-20 河南理工大学 利用Prony相对熵的故障投票选线方法
RU2631971C1 (ru) * 2016-04-22 2017-09-29 Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) Способ идентификации логического соединения в инфокоммуникационной сети, обеспечивающей анонимный доступ
RU2739151C1 (ru) * 2020-03-24 2020-12-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ маскирования структуры сети связи
RU2822817C1 (ru) * 2022-06-17 2024-07-15 Бейджинг Пантум Информейшн Текнолоджи Лтд. Способ настройки сети, электронное устройство и машиночитаемый носитель данных

Similar Documents

Publication Publication Date Title
JP7057796B2 (ja) 分散システムにおける顧客志向ネットワークの限界
US20200112486A1 (en) Centralized resource usage visualization service for large-scale network topologies
AU2019208140B2 (en) Centralized networking configuration in distributed systems
Zhao et al. Onset of traffic congestion in complex networks
US10002011B2 (en) Centralized networking configuration in distributed systems
CN105871811B (zh) 控制应用程序权限的方法及控制器
RU2412549C1 (ru) Способ конфигурирования сети связи
Moody et al. Defensive maneuver cyber platform modeling with Stochastic Petri Nets
CN103873367B (zh) 路由数据分组以及确定路由的方法和装置、胖树网络
Traudt et al. Flashflow: A secure speed test for tor
Mufadhol et al. Netscan and networx for management bandwidth and traffic with simple routing
Tootaghaj et al. Parsimonious tomography: Optimizing cost-identifiability trade-off for probing-based network monitoring
Boryło et al. SDNRoute: Integrated system supporting routing in software defined networks
CN106534304B (zh) 一种基于可取回概率的云存储方法和装置
RU2568784C1 (ru) Способ управления потоками данных распределенных информационных систем
Sun et al. A graph embedding‐based approach for automatic cyber‐physical power system risk assessment to prevent and mitigate threats at scale
Kiasari et al. An accurate mathematical performance model of adaptive routing in the star graph
KR102177429B1 (ko) 네트워크 노드들의 신뢰도 관리 방법 및 장치
Salgueiro et al. Defining bandwidth constraints with cooperative games
RU2631971C1 (ru) Способ идентификации логического соединения в инфокоммуникационной сети, обеспечивающей анонимный доступ
KHALED Modeling Analysis of Telecommunication Networks
Odegbile Software-Defined Policy Enforcement in Computer Networks
Sharma et al. Deadlock Prevention in Payment Channel Networks
Zhao et al. Providing adaptive quality of security in quantum networks
Cheema et al. Network security using graph theory

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20110722